Tu penses que ton WordPress est inviolable ? Wordfence te prouve le contraire

6 10265

Si vous n’avez aucunes connaissances en analyse de log, mais que vous aimez savoir ce qu’il se passe sur votre site, j’ai la solution.

Monitoring de site WordPress gratuit

Le service que je vous propose aujourd’hui vous permettra en quelques secondes (oui secondes) d’installation de contrôler ce qui se passe sur votre WordPress.

Il est important de suivre certaines règles de sécurité quand on possède un site sous WordPress, ce n’est pas faute de rappeler ses règles ici même. J’entends déjà Julio (#BoiteAWeb) nous rappeler que ce n’est pas suffisant, comme on le dit souvent, WordPress est victime de son succès, et les hackers s’empressent de tenter de vous visiter grâce à de nouvelles failles chaque jours.

L’outil que je présente aujourd’hui est déjà bien connu mais pour le peu de personne qui ne le connaissent pas il me semble important de vous vacciner.

Comme à mon habitude, je veille un peu les visites sur mes sites, et sur l’un de mes annuaires, je constate -encore une fois- qu’on tente de venir me l’a mettre dans le f***.

Comment j’ai eu l’info ? C’est grâce à mon installation de Wordfence qui me dit en temps réel ce qui se passe sur mon site, et là, au moment même où je vous écris, quelqu’un tente de pénétrer (Non @Xavfun c’est pas ce que tu crois) mon site.

Capture d’écran 2015-04-12 à 19.17.55

Je vois clairement que depuis plus de 24 heures quelqu’un tente de brute forcer mon site via des ip’s différentes ce qui rend (à mon avis (Julio me contredira peu être ?)) le plugin anti brute force inefficace.

Bon autant vous dire que le mec qui fait ça est en train de bouffer son crédit d’Ip car le login est bien entendu différent de « admin ». Mais le votre l’est-il ?

Grâce à Wordfence, vous pouvez constater que vous n’êtes pas très sécurisé, et les options qu’il propose vont vous permettre de changer ça illico presto.

Bien à vous ;)

6 Commentaires

  1. Le live traffic de WordFence fait bien son travail : vous faire peur.
    TOUS les sites WordPress sont ciblés par des tentatives incessantes de login, vous n’êtes pas spécialement ciblés.
    Au lieu de bloquer IP par IP : bloquez ou déplacez la page, ajoutez une double authentification, blacklistez des noms, banissez en auto les tentatives infructuseues, limitez le nombre de tentatives par IP successives, je ne sais pas moi, ya des solutions, mais passer son temps à baliser devant ce live traffic vous fait perdre votre temps.
    Sachez que votre IP est envoyée toutes les secondes aux serveurs de chez WF sans votre accord pour vous retrouver en home chez eux (.com) oups ?

  2. Salut Rodrigue,

    Je pense qu’on y a tous droit … Je cache l’admin de mon site mais pour toi c’est plus difficile puisque les personnes doivent s’inscrire …
    Essaye d’utiliser le WEBrtc et tu connaîtra son ip ;)

  3. Wordfence me semble pas mal, mais comme les fonctionnalités les plus intéressantes ne sont pas en test, mais juste en « Paid Members Only » c’est dommage.

    Personnellement je trouve que l’un des plug-ins les plus utiles pour le sécurité est « WordPress Sentinel », gratuit, simple, et efficace. Il garde un œuil sur chaque modification de fichier et donc permet s’il y a modification de vous alerter sur les fichiers modifiés.

    Si votre site est corrompu, il vous dira où, et vous permettra de gagner des heures de traques inutiles.

    Après il y a pas mal de plug-in disponible. Une idée qui me semble intéressante est en pratique de faire que voter site WP ne ressemble pas a un site WP : pas de wp-admin, pas de trace dans le code source du nom ou de la version du thème ou du plug-in, etc.

    Mais le plus grand risque de sécurité reste l’utilisateur et le manque de suivi de son WP ;-)

  4. Oui, vous avez raison. Pour se prémunir des tentatives de brute force sur la page de connexion à l’administration de wordpress, le plugin Limit Login Attempts est également considéré comme un excellent moyen. Et effectivement, comme vous l’avez dit, pour plus de protection, il est possible de restreindre l’accès à la page de connexion par adresse IP.

  5. Salut Rodrigue

    J utilise l extension Wordfence pour proteger le site web d un de mes clients ..j ai eu aussi de très nombreuses tentatives de bruteforce…
    je vous recommande d utiliser le plugin Itheme security pour proteger facilement votre site WordPress..

  6. Bonjour, j’utilise all-in-one-wp-security-and-firewall et il doit faire un peu près la même chose.
    Quel est le meilleur?
    Cordialement Nicolas.